A biztonsági rések kiaknázása és a kiberbűnözők által elkövetett támadások általában jelentős károkat okoznak a szervezetek számára. Ezért kiemelten fontos, hogy megfelelő eljárásokat dolgozzanak ki a sérülékenységek felfedezéséhez, kezeléséhez. 

Az Európai Unió NIS2 irányelve szerint a kritikus és fontos szervezeteknek kötelezővé kell tenniük a Sérülékenység Közzétételi Irányelvet (VDP), amely segít azonosítani és elhárítani a biztonsági réseket.

Mi is az a Sérülékenység Közzétételi Irányelv (VDP)?

A Sérülékenység Közzétételi Irányelv (Vulnerability Disclosure Policy/Program) egy olyan irányelv, amely segít a szervezeteknek megfelelően kezelni a sérülékenységeket. Az irányelv tartalmazza azokat az eljárásokat és útmutatásokat, amelyeket a cég követ a szoftvereiben vagy rendszereiben felfedezett biztonsági rések bejelentésekor / kezelésekor. 

A Sérülékenység Közzétételi Irányelv előnyei

A VDP-nek számos előnye van a szervezetek számára. Először is, lehetővé teszi az etikus hackerek számára, hogy jogi következmények nélkül jelentsék a sebezhetőségeket. 

Ezenkívül segít időben észlelni a biztonsági réseket és kijavítani azokat, mielőtt a sérülékenységekre vonatkozó részletek harmadik fél vagy a nyilvánosság számára hozzáférhetővé válnának. Ez segíthet csökkenteni a kockázatokat, és biztonságosabb szolgáltatásoknak köszönhetően növelheti az ügyfélbizalmat.

A VDP továbbá hozzájárul az adatvédelemmel és a kiberbiztonsággal kapcsolatos jogi és szabályozási követelményeknek, például a NIS2-nek való megfeleléshez.

Milyen szerepet játszanak az etikus hackerek a VDP-ben?

Az etikus hackereknek kulcsfontosságú szerepük van a VDP-ben. Ők azok, akik a sérülékenységeket felfedezik és jelentik a szervezeteknek, és így segítenek időben elhárítani a biztonsági hibákat. Az etikus hackerek a VDP-n keresztül jogi és anyagi következmények nélkül jelenthetik a sérülékenységeket, és biztosak lehetnek abban, hogy az információk biztonságosan eljutnak a megfelelő személyhez.

A VDP megléte így segíthet nagyobb bizalmat teremteni a szervezetek és a hackerek között.

Az etikus hackereknek be kell tartaniuk a VDP irányelveit és azokat a lépéseket, amelyeket a szervezet meghatározott a feltárt sérülékenység bejelentésével kapcsolatban. A VDP-t figyelmesen és körültekintően kell alkalmazni, ugyanis az etikus hackerek által felfedezett sérülékenységek jelentős hatással lehetnek a szervezetekre és az általuk nyújtott szolgáltatásokra.

Mit tartalmazzon a VDP?

A VDP-nek tartalmaznia kell a biztonsági hiba leírását, a bejelentés módját és a vizsgálat hatókörét. Emellett a VDP felvázolja a szervezet által meghozott intézkedéseket a hiba bejelentése után, és kommunikációs csatornákat biztosít a bejelentők számára. 

A VDP-nek tartalmaznia kell a következő elemeket:

1. A sebezhetőség meghatározása és leírása: Fontos, hogy a VDP tartalmazza a sérülékenység pontos meghatározásának és leírásának követelményeit. Ez segít a bejelentőknek abban, hogy hatékonyan értesítsék a szervezetet a problémáról, a szervezet pedig megfelelően tudjon reagálni a bejelentésre.

2. Egyértelmű útmutatás a bejelentéshez: A VDP-ben fel kell sorolni azokat a lépéseket, amelyeket a bejelentőknek követniük kell a sérülékenység bejelentéséhez. A VDP-nek magában kell foglalnia azokat az elérhetőségeket, csatornákat, amelyeken keresztül a hibát bejelenthetik.

3. Meg kell határozni a program scope-ját és a kivételeket: A VDP-ben szükséges meghatározni a vizsgálat hatókörét, valamint minden olyan kivételt, amely nem tartozik a program hatálya alá. A VDP-nek egyértelműen tartalmaznia kell, hogy a szervezet milyen sérülékenységeket fogad be, és melyeket nem.

4. Meg kell határozni a bejelentése utáni lépéseket: A VDP-ben a szervezet által követett lépéseket is meg kell határozni, amit az egyes bejelentések követnek. Ez magában foglalhatja a bejelentés validálását, a sérülékenység javítására vonatkozó megoldások megtalálását, a bejelentő értesítését, az esetleges jutalmakat, a köszönetnyilvánítás módját, valamint a nyilvános kommunikációt.

5. Kommunikáció meghatározása: A bejelentéshez szükséges csatornák feltüntetésén túl szükséges a szervezeten belül egy kijelölt személy, aki foglalkozik a bejelentésekkel. Ha erre nincs belső erőforrás a HACKTIFY csapata tudja menedzselni a folyamatot a cég helyett. Szabályként meghatározható az is, hogy a bejelentő milyen módon tehet közzé információt a talált sérülékenységről.

Kinek van szüksége VDP-re?

A VDP egy olyan fontos irányelv, amelyet minden olyan szervezetnek érdemes követnie, amely bizalmas adatokat kezel, különösen akkor, ha fontos az ügyfelek és a felhasználók biztonsága és adataik védelme.

Az Európai Unióban a NIS2 1. mellékletében szereplő ágazatokba tartozó cégeknek is szükségük van VDP-re. 

Ágazatok: szállítás, banki szolgáltatások, pénzügyi piaci infrastruktúrák, egészségügy, ivóvíz, szennyvíz, digitális infrastruktúra, IKT-szolgáltatások irányítása, közigazgatás, világűr.

Mi a különbség a VDP és a Bug Bounty között?

A VDP és a Bug Bounty program közötti különbség az, hogy a VDP a szervezetek részéről útmutatást ad a sebezhetőségek felelősségteljes bejelentéséhez, és felvázolja azokat a lépéseket, amelyeket a szervezet megtesz a sérülékenységek kezelésére, azonban nem feltétlenül kínálnak pénzbeli jutalmat. A bejelentett sérülékenységeket a NIS2 szerint érdemes nyilvánosságra hozni és megosztani más szervezetekkel az együttműködés elősegítése miatt. 

A Bug Bounty program keretein belül viszont pénzbeli jutalmat kínálnak azoknak, akik megtalálják a sebezhetőséget, ezáltal motiválva a vizsgálat elvégzését. Ezek a programok lehetnek nyilvánosak vagy akár privátak is. Testreszabható, paraméterezhető, s szemben a VDP-vel, itt a bejelentett sérülékenységek elővalidáláson esnek át, így a szervezeteknek csak a valós, minőségi bejelentésekkel kell foglalkozniuk.

VDP a HACKTIFY segítségével – Mikor válaszd?

• Ha nem rendelkezel ilyen irányelvvel, de fontos neked a céged szolgáltatásainak biztonsága.
• Ha szükséged van olyan információbiztonsági szakemberekre, akik elkészítik vállalatod számára a dokumentumot és akár a folyamat üzemeltetésében is segítenek.
• Ha NIS2 irányelv, vagy más szabvány vagy jogszabály szerinti megfeleléshez keresel megoldást.

Összefoglalva, a VDP egy olyan fontos folyamat, amely biztosítja a szervezetek és a bejelentők számára a biztonságot és az átláthatóságot, ami nélkül az adatvédelmi és kiberbiztonsági kockázatok magasabbak lennének.

A Sérülékenység közzétételi irányelvvel kapcsolatban keress minket bizalommal!